HOMEIPAについて新着情報プレス発表 IoT製品・サービス開発者のセキュリティ対策と意識を調査、その報告書を公開

本文を印刷する

IPAについて

プレス発表 IoT製品・サービス開発者のセキュリティ対策と意識を調査、その報告書を公開

~開発段階でセキュリティ方針・基準があると回答した割合は35.6%~

2018年3月22日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:富田達夫)は、IoT製品の脆弱性の届出件数の増加を受け、IoT製品・サービスの開発者に対してセキュリティ対策と意識の現状を調査し、その結果を報告書として公開しました。また、その結果を踏まえ、経営者・管理者向けに、企業が実施すべきIoTの脆弱性対策のポイントを「IoT製品・サービス脆弱性対応ガイド」として公開しました。なお、調査報告書、および対応ガイドは“情報システム等の脆弱性情報の取り扱いに関する研究会”の2017年の活動として行ったものです。

 URL:https://www.ipa.go.jp/security/fy29/reports/vuln_handling/index.html

 IoT製品の普及に伴い、組み込まれたソフトウェアの脆弱性に起因する脅威が現実のものとなっています。例えば、情報漏えいやDDoS攻撃によるネットワーク環境の妨害などが実際に発生しており、社会的に大きな問題と捉えられています。実際、2015年にIPAに届けられたIoT製品の脆弱性は64件に過ぎませんでした。しかし2017年には276件に上っています。

 一方、2003年11月に発足した“情報システム等の脆弱性情報の取り扱いに関する研究会”では、これまで官民連携の“情報セキュリティ早期警戒パートナーシップ”の策定、脆弱性関連情報の取り扱い範囲などの検討を重ねてきました。
 また、同研究会では、前述の届出件数の増加を受け、昨年、IoT製品の脆弱性の取扱いのあり方やその開発における脆弱性対策の啓発について検討に着手しました。

 手始めに、IoT製品開発におけるセキュリティ対策の現状を把握するため、アンケート調査(*1)を行いました。本日公開した「IoT製品・サービス開発者におけるセキュリティ対策の現状と意識に関する報告書」はこのアンケート結果をまとめたものです。

 また、この調査から明らかになった課題を解決するため、「IoT製品・サービス脆弱性対応ガイド」も併せて公開しました。これは、経営者・管理者向けに、企業が実施すべきIoT製品・サービスの脆弱性対策のポイントをまとめたものです。

この調査から浮き彫りになったことは、次の通りです。

  1. 製品開発段階でセキュリティ方針、基準の有無:「ある」と回答した割合は35.6%
  2. 開発段階において脆弱性対策を考慮している割合:68.3%
  3. 2.で実施している対策のうち、実施率が低かった対策:セキュアプログラミングの適用が41.4%、コーディング規約の利用は36.4%
  4. 製品のサポート期間中に脆弱性が発見されたことがある割合:26.3%
  5. 製品出荷後に脆弱性対策が困難な場合がある割合:13.7%
  6. その理由で最多が“製品・サービスの機能が最低限であり、パッチ適応が困難”な割合:42.9%
  7. 製品出荷後1年以内のパッチ適用率:最多だったのは“把握していない”31.1%
  8. サポート終了後に脆弱性が発見された場合の対応:最多だったのは“最新の製品・サービスの利用を呼びかける”42.9%

 「IoT製品・サービス脆弱性対応ガイド」が多くの経営者・管理者に読まれ、自社製品の開発等に役立てられることで、安全安心な製品が供給され、また製品の利用期間中も安全性が維持されることを期待しています。


脚注

(*1) IoT推進コンソーシアムの法人会員に対して実施、母数1740、有効回答数205件

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 渡辺/板橋

Tel: 03-5978-7527 Fax: 03-5978-7552 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。